Ключевые принципы в основе обновленной модели “Трех линий защиты”

Внутренний аудит и внутренний контроль
Источник: GAAP.RU
Опубликовано: 28 июля 2020

По материалам: IIA


Фото: rmmagazine.com

Где-то в начале лета прошлого года Институт внутренних аудиторов (Institute of Internal Auditors - IIA) обратился ко всем, кому тема близка, с призывом предлагать свои идеи относительно обновления одной из ключевых своих концепций, которой насчитывается уже более двух десятков лет. Модель давно является признанным во всем мире стандартом внутреннего аудита, но время не стоит на месте, поэтому двадцать лет спустя стала ощущаться потребность в модернизации с учетом современных практик управления и комплайенса.

Столь широкое распространение в мировой практике модель “3LOD” (от “Three Lines of Defense”) получила благодаря своим многочисленным преимуществам, среди которых стоит отметить относительною простоту и четкость, с которыми можно распределять контрольные функции и обязанности среди различных структур организации. Плюс к этому, концепция также рассматривает внешних аудиторов и регуляторов, не относя их при этом к “линиям защиты”, однако признавая, что эта находящаяся за периметром сторона принимает важное участие в построении структуры управления и внутреннего контроля. В конце концов, правила игры определяют именно органы регулирования, а внешние аудиторы следят, чтобы они не нарушались.

Несмотря на все преимущества, в адрес модели “Трех линий защиты” часто звучала критика, источником которой, вероятно, следует считать ее врожденные ограничения. Одно из них понятно уже из самого названия: почему-то речь идет именно о “защите” от риска, и именно на этом делается основной упор - но при этом не на использовании возможностей. Именно поэтому в прошлом году президент и исполнительный директор IIA Ричард Чемберс (Richard Chambers) объявил о пересмотре модели силами специальной рабочей группы, куда вошли практикующие специалисты из области внутреннего аудита, комплайенса и управления рисками. Посмотрим, что у них получилось.

На днях в новостях сообщалось о том, что свою обновленную модель “Трех линий защиты” (которая, правда, теперь стала называться просто “Модель трех линий”) IIA все-таки представил на суд общественности. Во вступительном описании подчеркивается важность эффективной реализации организационных задач, что обеспечивается эффективностью структуры и процессов внутри организации.

Высшее руководство (топ-менеджеры, комитет по аудиту, совет директоров) - это те лица, которые отвечают непосредственно перед стейкхолдерами (определяемыми как “группы и индивидуумы, чьим интересам служит, или на чьи интересы влияет организация”) за успех или неудачи. К “линиям защиты” высшее руководство не относится.

Зато относятся (к первой линии) подчиняющиеся им операционные менеджеры - те, кто отвечает за доведение производимого организацией продукта или услуг до клиентов. Вторая линия защиты служит основной цели обеспечения эффективности механизмов первой линии: это различные меры финансового контроля, информационной безопасности, управления рисками, управления качеством и т.д.

Наконец, последняя третья линия - внутренний аудит, который осуществляет свои функции независимо от менеджеров, оценивая качество и эффективность корпоративного управления и управления рисками. Внутренние аудиторы также оценивают систему внутреннего контроля (на первой линии), которая определена как совокупность процессов, направленных на обеспечение обоснованной уверенности в достижении поставленных целей.

“Модель трех линий” в пересмотренном виде все также же помогает организациям определять у себя те структуры и процессы, которые наилучшим образом способствуют достижению поставленных целей, обеспечивают эффективность корпоративного управления и управления рисками. Как и прежде, она полностью универсальна и может применяться почти всеми, так как опирается на ключевые принципы.

Что можно отнести к новым вещам, так это слегка измененный акцент: в дополнение к “защите” (в том числе защите уже созданной стоимости), “Модель трех линий” также проводит связь между управлением рисками с одной стороны и достижением поставленных задач и созданием стоимости - с другой. Модель более четко расписывает ключевые роли и обязанности участников и отношения между ними, а также обеспечивает дополнительные меры по соотнесению предпринимаемых действий - да и самих целей, ради которых эти действия предпринимаются - с приоритетными интересами стейкхолдеров.

На какие ключевые принципы опирается теперь “Модель трех линий”? Их ровно шесть, рассмотрим их детально.

Принцип 1: Управление (организацией)

Организации как таковой дается свое определение “организованной совокупности деятельности, ресурсов и людей, работающих на достижение общих целей”. Управление организацией требует наличия структур и процессов, обеспечивающих:

  • Подотчетность высшего руководства стейкхолдерам по вопросам организационного надзора, реализуемого на принципах целостности, лидерства и прозрачности;
  • Деятельность по управлению (в том числе управлению рисками), направленную на достижение организационных целей и реализуемую через взвешенное (с учетом рисков) принятие решений и распределение ресурсов;
  • Разумную уверенность и рекомендации со стороны независимой функции внутреннего аудита, которая тем самым поддерживает внутриорганизационное доверие и способствует непрерывным улучшениям.

Принцип 2: Роли высшего руководства

Высшее руководство как сторона, отвечающая непосредственно перед стейкхолдерами, создает необходимые для эффективного управления структуры и процессы, а также обеспечивает соответствие организационных целей и действий приоритетным интересам стейкхолдеров. С учетом этого высшее руководство:

  • Распределяет обязанности среди менеджеров и обеспечивает их ресурсами для достижения организационных целей - при соблюдении законодательства, правил регулирования и принципов деловой этики;
  • Создает и присматривает за деятельностью независимой, объективной и компетентной функции внутреннего аудита, которая отвечает за прозрачность и доверие на всем пути к достижению поставленных организационных целей.

Конечно, организаций в мире много, и то, как высшее руководство осуществляет распределение ответственности, может отличаться. Но “Модель трех линий” все так же (а может, даже более) универсальна, потому что основана на принципах. Поэтому здесь и далее будут показаны примерные схемы функциональных обязанностей, на которые можно ориентироваться в ходе практического применения рассматриваемых в этом материале базовых принципов. В случае с высшим руководством организации такую функциональную схему общего плана можно представить следующим образом:

  • Принятие на себя обязательств в плане подотчетности стейкхолдерам за осуществление организационного надзора
  • Взаимодействие со стейкхолдерами касательно соблюдения их интересов и информирования о достижении поставленных целей
  • Продвижение внутри организации культуры следования принципам деловой этики
  • Создание структур и процессов для реализации управления, в том числе вспомогательных комитетов (таких как комитет по аудиту), в случае необходимости
  • Распределение полномочий среди менеджеров и обеспечение их ресурсами в целях реализации поставленных организационных целей
  • Определение текущей склонности к риску, осуществление надзора за риск-менеджментом и СВК
  • Осуществление надзора за выполнением законодательства, правил регулирования, этических принципов
  • Создание и надзор за функционированием независимой, объективной и компетентной функцией внутреннего аудита

Принцип 3: Менеджеры; роли первой и второй линий

Ответственность операционных менеджеров (не топ-менеджеров, относящихся к высшему руководству) за достижение организационных целей распространяется на роли и первой, и второй линий одновременно. Роли на первой линии, как отмечалось выше, прямо связаны с обеспечением клиентов организации товарами и/или услугами, что подразумевает, в том числе, поддерживающие функции.

Важно отметить, что хотя такое вот разделение по “линиям” было сохранено после пересмотра модели, оно стало более неформальным. Эти термины по-прежнему используются в описании, но скорее для удобства тех, кто за долгие годы просто привык к ним. При этом вряд ли стоит думать о них как о структурных элементах внутри организации - скорее это просто удобное разграничение ключевых ролей. Если бы речь шла о структуре, то и высшее руководство следовало бы считать одной из “линий”, но этого не делается во избежание путаницы. Также не стоит тут мыслить и в терминах последовательности: вторая линия действует отнюдь не после первой, а третья - отнюдь не после второй, но все три функциональных линии всегда действуют одновременно.

Говоря о поддерживающих функциях, многие относят их ко второй линии (это может быть кадровая служба, это могут быть административные функции, примеров много). Тут важно запомнить, что в “Модели трех линий” в первую линию входит как “фронт-офис”, так и “бэк-офис”, а если говорить о второй линии, то к ней относится вспомогательная деятельность, фокусирующаяся на связанных с темой управления рисками вопросах.

Обращаем внимание, что роли первой и второй линий можно смешивать, а можно и четко разделять, это все индивидуально. Какие-то роли второй линии можно делегировать специалистам, осуществляющим вспомогательную поддержку, мониторинг. Работу этих специалистов можно фокусировать на специфических задачах риск-менеджмента, каких как обеспечение комплайенса в соответствии с действующими нормами законодательства и кодекса деловой этики, положениями о внутреннем контроле, регламентом информационной безопасности, принципами устойчивого развития, нормами контроля качества, и так далее. И напротив, роли второй линии могут охватывать не столь четко очерченную, а более широкую сферу ответственности в рамках управления рисками, например, систему ERM (“Enterprise risk management” – “Управление рисками организации”), но при этом конечная ответственность за управления рисками все равно является прерогативой менеджеров на первой линии.

Функциональную схему ролей первой линии можно изобразить следующим образом:

  • Руководство и направление действий (в том числе связанных с управлением рисками) и использование ресурсов в достижении организационных целей
  • Поддержание постоянного диалога с высшим руководством и подотчетность ему касательно планируемых, фактических и ожидаемых результатов, имеющих отношение к организационным целям, а также рисков
  • Создание и управление процессами, подходящими для реализации операционной деятельности и риск-менеджмента (включая СВК)
  • Обеспечение комплайенса в соответствии с нормами законодательства, правилами регулирования и принципами деловой этики

Примерную функциональную схему ролей второй линии можно представить так:

  • Обеспечение вспомогательной консультативной помощи, поддержки, мониторинга, проверки в связи с управлением рисками, что предполагает, в том числе:

- разработку, внедрение и постоянное улучшение практик управления рисками (в том числе в рамках СВК) на уровне отдельных процессов, систем и всей организации

- реализацию задач по управлению рисками, таких как обеспечение комплайенса в соответствии с нормами законодательства, правилами регулирования и принципами деловой этики; внутренний контроль; информационную и технологическую безопасность; гарантию качества

  • Проведение анализа и оценка эффективности систем управления рисками, включая внутренний контроль

Принцип 4: Роли третьей линии

Это, конечно, внутренний аудит, обеспечивающий независимую и объективную уверенность и рекомендации по поводу адекватности и эффективности корпоративного управления и риск-менеджмента. Правда, в некоторых организациях к ролям на третьей линии стали относить также инспекции, внутренние расследования, внутреннюю оценку, систему выплаты вознаграждений. Это также очень важные функции, которые ко внутреннему аудиту не относятся и действуют отдельно.

Внутренний аудит результаты своей работы доводит до сведения менеджеров на первой линии, а также высшему руководству организации, тем самым способствуя непрерывным улучшениям. В своих рекомендациях внутренние аудиторы могут опираться, в том числе, на результаты внешних аудиторских проверок.

Принцип 5: Независимость третьей линии

Принцип настолько важный, что выделен отдельно. Сфера ответственности внутренних аудиторов и сфера ответственности менеджеров - это разные вещи, и это критически важно для обеспечения объективности и надежности внутреннего аудита. Как это реализовать? Внутренние аудиторы отвечают не перед операционными менеджерами, а перед высшим руководством организации (менеджеров, как было сказано выше, они могут лишь информировать о результатах проведенной работы). Кроме того, независимость внутренних аудиторов обеспечивается неограниченным доступом к лицам на ключевых позициях, ресурсам и данным, необходимым им для выполнения работы.

Внутренний аудит:

  • Подотчетен в первую очередь высшему руководству (во вторую - внешним аудиторам и представителям органов регулирования), и он независим от менеджеров
  • Дает независимую и объективную гарантию качества, также дает менеджерам и высшему руководству свои рекомендации по поводу адекватности и эффективности системы корпоративного управления и риск-менеджемента (включая внутренний контроль) в целях достижения поставленных перед организацией целей и непрерывного улучшения
  • В случае частичной потери независимости и/или объективности докладывает об этом высшему руководству и использует защитные механизмы в соответствии с принятым регламентом

Принцип 6: Создание и защита стоимости

Все участники, вне зависимости от принадлежности к тем или иным ролям в организации, вместе работают над созданием и защитой стоимости, однако обеспечить это можно тогда, когда их работа согласована как между ними самими, так и с приоритетными интересами стейкхолдеров. Обеспечивать такое согласование должна эффективная система коммуникаций, лежащая в основе слаженного взаимодействия. Она обеспечивает надежность, полноту и прозрачность информации в основе принимаемых деловых решений.


Источник: IIA

В заключение несколько слов о взаимоотношениях ролей на всех трех рассмотренных здесь “линиях”.

Высшее руководство и менеджеры

Высшее руководство, как известно, определяет организационное видение, корпоративные ценности, стратегии развития, склонность к риску. Ответственность за достижение поставленных целей оно возлагает на менеджеров, предоставляя им все необходимые для этого ресурсы. По итогам проделанной работы менеджеры отчитываются перед руководством, доводя до его сведения данные о планируемых, фактических и ожидаемых исходах, а также отчеты по рискам и управлению рисками.

В какой-то мере, как можно понять, эти роли будут перехлестываться. Бывают организации, где менеджеры действуют более-менее самостоятельно, а бывают и такие, где начальство буквально “в затылок дышит” и постоянно вмешивается. Менеджеры также могут принимать весьма существенное участие в разработке стратегических планов развития. Такая должность как исполнительный директор (CEO) часто считается частью высшего руководства, однако это одновременно человек, стоящий во главе всех организационных операций.

Помимо исполнительных директоров, многие организации сегодня выбирают себе лидеров на второстепенные роли, таких как CRO (Chief Risk Officer, главный директор по рискам) или CCO (Chief Compliance Officer, главный директор по комплайенсу). Не то чтобы это было необходимостью в каждом отдельном случае, просто у такой системы коммуникаций тоже есть свои преимущества, особенно в случае со сложной организационной структурой. Конечно, и такие варианты, вне всяких сомнений, будут полностью соответствовать принципам “Модели трех линий”.

Менеджеры и внутренний аудит

Еще раз подчеркнем ключевую важность сохранения независимости внутреннего аудита, потому что только так получиться избежать препятствий и любых смещений в планировании и выполнении внутренними аудиторами своей работы, при сохранении полного доступа к людям, ресурсам и информации, когда это необходимо для работы.

Внутренний аудит отвечает не перед менеджерами, а перед высшим руководством, однако отсутствие подотчетности не означает полной изоляции. Как раз наоборот - важно чтобы между внутренними аудиторами и менеджерами постоянно шел диалог, иначе работа внутренних аудиторов может случайно разойтись со стратегическими целями всей организации (о которых имеют максимально четкое представление как раз таки менеджеры, получившие прямые указания от своего начальства). Эффективная система коммуникаций - причем между ролями на всех линиях, не только первой и второй, как этом случае - нужна еще и для того, чтобы избежать перехлеста и дублирования отдельных функций.

В то же время, выполняя свою работу, внутренние аудиторы постепенно получают свои уникальные знания и представления об организации. Это позволяет взглянуть на нее как бы с другой стороны, получив тем самым важнейшие “инсайты”, которыми внутренние аудиторы затем поделятся с высшим руководством организации. В этом случае мы говорим об их роли “доверенных консультантов” или даже “стратегических партнеров”.

Внутренние аудиторы и высшее руководство

Внутренних аудиторов иногда художественно именуют “глазами и ушами” высшего руководства, потому что именно ему они непосредственно отчитываются. Высшее руководство, таким образом, присматривает за СВА, что подразумевает не только ее образование, но и иногда назначение/увольнение руководителя службы внутреннего аудита (Chief Audit Executive - CAE) как основного канала коммуникаций между внутренним аудитом и высшим руководством организации. Кроме того, высшее руководство одобряет аудиторские планы и выделяет под них необходимые ресурсы.

Теги: “Три линии защиты”  “3LOD”  Three Lines of Defense  Институт внутренних аудиторов  Institute of Internal Auditors  IIA  внутренний аудит  управление рисками  “Модель трех линий”  организационные цели  деловая этика  функции внутреннего аудита  структура у